Politique de confidentialité

Au : 17 avril 2026

1. Responsable au sens du RGPD

Le responsable du traitement des données sur ce site web et au sein de l'application SaaS « Temporalis EMS » est :

Représenté par le gérant : Raphael J. N. Hettich, M. Sc.

Téléphone : +49 721 619329 0
E-mail : info@temporalis.io
Registre du commerce : Amtsgericht Mannheim, HRB 753583

Le développement de l'application est assuré par la société liée Consiliari GmbH (Amtsgericht Mannheim, HRB 727046, même adresse). Consiliari Software GmbH est le partenaire contractuel des clients et est responsable au sens du RGPD pour tous les traitements décrits ici.

2. Délégué à la protection des données

Notre délégué à la protection des données est :

M. Berger exerce au sein du groupe Consiliari (Consiliari Software GmbH et Consiliari GmbH) exclusivement la fonction de délégué à la protection des données. Il n'exerce aucune fonction de direction, développement, vente, administration IT ou autre rôle de direction opérationnelle. L'indépendance et l'absence de conflit d'intérêts au sens de l'art. 38 al. 6 RGPD et des lignes directrices CEPD WP 243 rev.01 sont ainsi garanties.

3. Principes généraux

Nous traitons les données personnelles uniquement dans le cadre des dispositions légales, en particulier le règlement général sur la protection des données (RGPD), la loi fédérale allemande sur la protection des données (BDSG) ainsi que la loi sur la protection des données des télécommunications et des services numériques (TDDDG). La présente déclaration vous informe sur la nature, l'étendue et la finalité du traitement des données personnelles lors de la visite de notre site (temporalis.io) ainsi que lors de l'utilisation de notre application SaaS « Temporalis EMS ».

Notre offre s'adresse à des entrepreneurs (§ 14 BGB) et leurs salariés à partir de 16 ans. Aucun traitement intentionnel de données de mineurs de moins de 16 ans (art. 8 RGPD) n'a lieu ; ces données sont — dès que nous les identifions — supprimées sans délai.

4. Droits des personnes concernées

Le RGPD vous confère les droits suivants à notre égard :

• Accès (art. 15) aux données vous concernant que nous conservons
• Rectification (art. 16) des données inexactes
• Effacement (art. 17) (« droit à l'oubli »)
• Limitation du traitement (art. 18)
• Portabilité des données (art. 20) dans un format structuré et couramment utilisé
• Retrait du consentement donné (art. 7 al. 3) avec effet pour l'avenir
• Réclamation auprès d'une autorité de contrôle (art. 77)

Droit d'opposition (art. 21 RGPD) : Vous avez le droit, pour des raisons tenant à votre situation particulière, de vous opposer à tout moment au traitement des données personnelles vous concernant fondé sur l'art. 6 al. 1 let. f RGPD (intérêts légitimes). Si nous traitons vos données à des fins de prospection, vous avez le droit de vous opposer à tout moment à ce traitement. Après votre opposition, nous ne traiterons plus vos données personnelles, à moins que nous puissions démontrer des motifs légitimes impérieux qui prévalent sur vos intérêts, droits et libertés, ou que le traitement serve à la constatation, l'exercice ou la défense de droits en justice.

Compétence et délai de réponse : Nous répondons aux demandes dans un délai d'un mois à compter de la réception (art. 12 al. 3 RGPD). Si votre demande concerne des données traitées en votre qualité d'utilisateur d'un tenant client (c.-à-d. en tant que salarié d'un mandant de Consiliari Software GmbH), nous transmettons la demande dans les 5 jours ouvrés au client respectif (responsable du traitement) et vous en informons.

L'autorité de contrôle de la protection des données compétente pour nous est :

Pour exercer vos droits, un message informel suffit à : dsb@temporalis.io

5. Traitement lors de la visite de notre site (temporalis.io)

5.1 Fichiers journaux du serveur

Lors de la consultation de notre site, notre hébergeur collecte automatiquement des informations transmises par votre navigateur :

• Adresse IP (stockée tronquée/anonymisée, sauf en cas de nécessité pour parer des attaques)
• Date et heure de l'accès
• Volume de données transmis
• URL référente
• Navigateur et système d'exploitation utilisés

Base juridique : art. 6 al. 1 let. f RGPD (intérêt légitime à la stabilité et à la sécurité de l'offre web).
Durée de conservation : 14 jours maximum, puis suppression ou anonymisation.

5.2 Hébergement du site (Hetzner Online GmbH)

Notre site est hébergé par :

Les serveurs se trouvent exclusivement en Allemagne (centres de données de Nuremberg/Falkenstein). Un contrat de sous-traitance conformément à l'art. 28 RGPD est conclu avec Hetzner. Hetzner est certifié ISO/IEC 27001.

Base juridique : art. 6 al. 1 let. f RGPD.

5.3 Chiffrement SSL

Pour des raisons de sécurité et pour protéger la transmission de contenus confidentiels, nous utilisons un chiffrement TLS/SSL (reconnaissable au « https:// » dans la barre d'adresse ainsi qu'au symbole de cadenas).

5.4 Mesure d'audience avec Plausible Analytics

Sur notre site, nous utilisons Plausible Analytics, un service d'analyse de Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estonie.

Plausible est un service d'analyse sans cookie, respectueux de la vie privée. Aucun cookie n'est posé, aucune adresse IP n'est conservée durablement et aucune donnée personnelle n'est transmise à des tiers. Les données sont exclusivement évaluées de manière agrégée et anonymisée (pages vues, référent, région géographique grossière au niveau du pays, type d'appareil). Aucune reconnaissance d'utilisateurs individuels n'a lieu.

L'hébergement de l'analyse a lieu sur des serveurs au sein de l'UE (Allemagne/Finlande).

Base juridique : art. 6 al. 1 let. f RGPD (intérêt légitime à l'évaluation statistique pour améliorer l'offre) ; selon notre appréciation juridique, un consentement au sens du § 25 TDDDG n'est pas nécessaire, Plausible ne stockant ni ne lisant aucune information dans l'équipement terminal : aucun cookie n'est posé, aucun identifiant durable d'appareil n'est généré et aucune reconnaissance entre sessions n'a lieu. Un éventuel hash de sel rotatif quotidien servant au comptage agrégé journalier ne constitue pas une possibilité stable de reconnaissance et sert exclusivement à l'évaluation statistique. Le traitement est ainsi strictement nécessaire à la fourniture du service « site web » expressément demandé par l'utilisateur, au sens du § 25 al. 2 n° 2 TDDDG. Nous suivons ainsi l'opinion dominante des autorités de contrôle allemandes ; la situation juridique est suivie en continu.

Pour plus d'informations : https://plausible.io/data-policy

5.5 Prise de contact

Lorsque vous nous contactez par e-mail, formulaire de contact ou via Microsoft Bookings (cf. 5.7), nous traitons vos indications (nom, adresse e-mail, demande, le cas échéant nom de société et numéro de téléphone) pour traiter votre demande.

Base juridique : art. 6 al. 1 let. b RGPD (mesures précontractuelles ou exécution d'un contrat) ou art. 6 al. 1 let. f RGPD (intérêt légitime à une communication efficace).
Durée de conservation : jusqu'au traitement complet de la demande, augmenté des durées de conservation légales (notamment § 257 HGB, § 147 AO : max. 10 ans pour la correspondance commerciale pertinente).

5.6 E-mails transactionnels / envoi d'e-mails

Pour l'envoi d'e-mails transactionnels (confirmation d'essai, factures, réinitialisation de mot de passe, notifications système), nous utilisons les services d'un fournisseur d'e-mails spécialisé :

Base juridique : art. 6 al. 1 let. b RGPD.
Un contrat de sous-traitance conformément à l'art. 28 RGPD est en place.

5.7 Prise de rendez-vous avec Microsoft Bookings

Pour la prise de rendez-vous de démo et d'entretiens-conseil, nous utilisons le service Microsoft Bookings, qui fait partie de notre tenant Microsoft 365.

Fournisseur : Microsoft Ireland Operations Limited, One Microsoft Place, South County Business Park, Leopardstown, Dublin 18, D18 P521, Irlande.

Les données de réservation sont stockées dans notre environnement Microsoft 365 (Exchange Online) à l'intérieur de la EU Data Boundary. Microsoft a mis en œuvre intégralement l'EU Data Boundary pour ses services cloud en février 2025 ; le traitement des données clients a donc lieu exclusivement sur des serveurs au sein de l'Union européenne.

Lors de la prise de rendez-vous, les données suivantes sont collectées : nom, adresse e-mail, créneau choisi ainsi que des informations facultatives complémentaires (par ex. nom de société, demande, nombre de salariés). Avant de finaliser la réservation, vous devez consentir activement au traitement des données via une case à cocher correspondante.

Sur notre page de démo (/demo), la page de réservation est intégrée sous forme d'iframe. Les contenus et cookies de Microsoft ne sont chargés qu'après que vous cliquez activement sur « Charger le calendrier Bookings » (procédure click-to-load). Avant ce clic, aucune transmission de données vers Microsoft n'a lieu. Après chargement, Microsoft pose des cookies techniquement nécessaires (par ex. pour la session et la répartition de charge) ; ces cookies sont utilisés exclusivement par Microsoft pour le fonctionnement du service de réservation.

Base juridique : art. 6 al. 1 let. b RGPD (mesures précontractuelles / préparation du contrat).
Un contrat de sous-traitance conformément à l'art. 28 RGPD existe sous la forme du Microsoft Online Services Data Protection Addendum.

Informations relatives à la protection des données de Microsoft : https://privacy.microsoft.com/de-de/privacystatement

6. Traitement lors de l'utilisation de l'application SaaS « Temporalis EMS »

6.1 Inscription et accès en essai de 14 jours

L'utilisation de notre application SaaS nécessite la création d'un compte. Nous collectons à cette occasion les données suivantes :

• Nom, adresse e-mail professionnelle
• Nom de société
• Mot de passe choisi (stocké sous forme de hash, jamais en clair)
• Facultatif : numéro de téléphone, nombre de salariés, secteur

L'accès en essai de 14 jours est activé sans saisie de carte bancaire et prend fin automatiquement à expiration, sauf souscription d'un abonnement payant.

Base juridique : art. 6 al. 1 let. b RGPD (exécution d'un contrat d'utilisation).

6.2 Utilisation courante (données de tenant)

Dans le cadre de l'utilisation, vous-même et le cas échéant vos collaborateurs saisissez des données dans le système (par ex. projets, saisies de temps, contacts, données RH, justificatifs). Ces données sont traitées en tant que sous-traitant agissant pour votre compte (art. 28 RGPD) ; le client reste responsable du traitement. La base est le contrat de sous-traitance (AVV) conclu entre vous et nous, que nous concluons par défaut comme partie intégrante du contrat principal.

Un modèle de contrat et les mesures techniques et organisationnelles (TOM) correspondantes sont mis à disposition à l'adresse https://temporalis.io/trust.

6.3 Hébergement de l'application SaaS

L'hébergement de l'application SaaS a lieu exclusivement sur des serveurs de Hetzner Online GmbH en Allemagne (centres de données de Nuremberg et/ou Falkenstein). Les données clients ne quittent pas l'EEE. Les sauvegardes sont elles aussi stockées chiffrées en Allemagne.

6.4 Traitement des paiements avec Stripe

Pour le traitement des abonnements payants, nous utilisons le prestataire de paiement :

Lors de la souscription d'un abonnement payant, les données de paiement (numéro de carte bancaire, données SEPA, adresse de facturation, montant) sont transmises directement à Stripe. Nous-mêmes ne stockons pas de données complètes de carte bancaire. Stripe traite les données sous sa propre responsabilité et dans le respect du standard PCI-DSS.

Stripe Payments Europe Ltd. est une société de droit irlandais ; un transfert vers Stripe Inc. (USA) n'a lieu que dans la mesure strictement nécessaire à l'exécution du paiement et sur la base juridique suivante :

• EU-US Data Privacy Framework (décision d'adéquation de la Commission UE du 10/07/2023) ; Stripe Inc. figure sur la Data Privacy Framework List ;
• en complément, clauses contractuelles types de l'UE selon la décision d'exécution (UE) 2021/914 de la Commission du 4 juin 2021 ;
• conformément aux recommandations CEPD 01/2020 dans la version du 18/06/2021, nous avons réalisé une Transfer Impact Assessment (TIA) et l'avons sécurisée par des mesures techniques et organisationnelles complémentaires (pas de transmission de catégories particulières de données à Stripe, finalité limitée au paiement, chiffrement en transit TLS 1.2+). La TIA est consultable dans notre Trust Center.

Base juridique : art. 6 al. 1 let. b RGPD (exécution du contrat) ; art. 45 RGPD (DPF) et art. 46 al. 2 let. c RGPD (CCT) pour le transfert vers un pays tiers.
Pour plus d'informations :https://stripe.com/de/privacy

6.5 Communication de support

Vous adressez les demandes de support par e-mail à support@temporalis.io ou depuis l'application. Nous n'utilisons aucun outil externe de helpdesk/ticketing ; le traitement a lieu exclusivement sur nos serveurs chez Hetzner Online GmbH en Allemagne ainsi que dans notre système de courriel exploité en interne.

6.6 Transmission de données aux sociétés liées

Consiliari GmbH (Amtsgericht Mannheim, HRB 727046, Brauerstraße 12, 76135 Karlsruhe) développe l'application « Temporalis EMS » et fournit à Consiliari Software GmbH des prestations de développement et de maintenance. Dans ce cadre, Consiliari GmbH peut accéder à des couches techniques du système, par exemple pour le bugfixing et le développement.

Lorsque cela concerne des données clients à caractère personnel, cela a lieu exclusivement dans le cadre d'un contrat de sous-traitance intra-groupe (art. 28 RGPD) ; Consiliari GmbH agit alors comme sous-traitant ultérieur de Consiliari Software GmbH et est soumise aux mêmes exigences de sécurité que celles fixées en annexe 1 du contrat de sous-traitance. L'accès aux données de production est en outre sécurisé par un Privileged-Access-Management avec autorisation just-in-time, limitation dans le temps et enregistrement de session (détails en annexe 1 du contrat de sous-traitance). Consiliari GmbH est listée en annexe 2 du contrat de sous-traitance comme sous-processeur (cf. § 7 de la présente déclaration).

6.7 Fonctions d'assistance basées sur l'IA

Le service comprend des fonctions d'assistance basées sur l'IA (par ex. pour le pré-remplissage automatisé de formulaires, propositions de filtres, recherche plein texte, traductions). Ces fonctions ne prennent aucune décision produisant des effets juridiques au sens de l'art. 22 RGPD et ne remplacent aucune appréciation humaine ; elles préparent uniquement des saisies que l'utilisateur examine et valide avant reprise. Aucune décision individuelle entièrement automatisée n'a lieu.

Les fournisseurs de LLM utilisés sont listés intégralement en annexe 2 du contrat de sous-traitance (siège, lieu de stockage, mécanisme de transfert). Aucune donnée client à caractère personnel n'est utilisée pour l'entraînement des modèles d'IA des fournisseurs (opt-out contractuellement assuré dans l'offre Enterprise des fournisseurs). Le client peut désactiver les fonctions IA pour l'ensemble du tenant.

Dans la mesure où les fonctions IA relèvent de l'AI Act (règlement (UE) 2024/1689), nous respectons les obligations de transparence et de documentation applicables ; selon notre appréciation actuelle, les fonctions sont majoritairement classées comme systèmes à risque limité.

7. Liste des sous-traitants ultérieurs (sous-processeurs)

Les prestataires suivants traitent des données pour notre compte ou en tant que tiers responsables (pour le traitement des paiements) :

Une liste à jour et complète figure dans notre Trust Center à l'adresse https://temporalis.io/trust. Nous informons les clients existants des modifications avec un préavis de 30 jours ; les clients disposent d'un droit d'opposition assorti d'un droit de résiliation extraordinaire.

8. Durée de conservation et suppression

Nous ne conservons les données personnelles que le temps nécessaire aux finalités correspondantes ou conformément aux obligations légales de conservation :

• Logs serveur : 14 jours
• Statistiques Plausible : agrégées, sans rattachement à une personne
• Comptes d'essai non convertis : suppression automatique 30 jours après la fin de l'essai
• Données client après fin de contrat : restitution/export sous 30 jours, puis suppression définitive sous 60 jours supplémentaires
• Données pertinentes pour la facturation : 10 ans (§ 147 AO, § 257 HGB)
• Correspondance contractuelle : 6 ans (§ 257 HGB)
• Dossiers de candidature : 4 mois après refus (délai de recours AGG plus marge) ; conservation plus longue uniquement avec consentement explicite à l'inscription dans le pool de talents ou en cas de litige pendant

9. Pas de décision individuelle automatisée / profilage

Aucune prise de décision automatisée produisant des effets juridiques ou un impact significatif comparable au sens de l'art. 22 RGPD n'a lieu. Lorsque nous utilisons des fonctions d'assistance basées sur l'IA (cf. § 6.7), celles-ci ne prennent pas de telles décisions, mais préparent simplement des contenus ou propositions que l'utilisateur évalue et valide.

9a. Protection des données des salariés dans le module RH

Si un client utilise le module RH du service, il traite, en sa qualité de responsable, les données de ses salariés au sens du § 26 BDSG ou sur la base d'un accord collectif (§ 26 al. 4 BDSG). Le client est tenu :

• d'informer les salariés conformément à l'art. 13 RGPD,
• d'obtenir, le cas échéant, les droits de codécision relevant du droit de la cogestion (§ 87 al. 1 n° 6 BetrVG en cas de contrôle du comportement/de la performance par le suivi du temps), s'il existe un comité d'entreprise,
• de ne saisir des données sensibles (art. 9 RGPD, par ex. données de santé) dans le service que sur une base juridique solide.

Consiliari Software GmbH soutient le client à la demande dans l'accomplissement de ces obligations dans le cadre du contrat de sous-traitance (art. 28 al. 3 let. e et f RGPD).

9b. Origine des données lors d'imports tiers (art. 14 RGPD)

Lorsqu'un client importe dans le service des données de contact de tiers (par ex. données clients, fournisseurs ou prospects) à partir de sources externes (import CRM, exports LinkedIn, scans de cartes de visite), il est responsable du traitement au sens du RGPD et remplit lui-même les obligations d'information vis-à-vis des personnes concernées au titre de l'art. 14 RGPD. Consiliari Software GmbH agit dans ce cas exclusivement comme sous-traitant.

10. Sécurité

Nous prenons des mesures techniques et organisationnelles appropriées pour protéger vos données (entre autres chiffrement TLS en transit, sauvegardes chiffrées, contrôles d'accès need-to-know, autorisations basées sur les rôles, mises à jour régulières, authentification à 2 facteurs pour les administrateurs, test d'intrusion externe annuel). Les détails figurent dans nos mesures techniques et organisationnelles (TOM) en annexe du contrat de sous-traitance.

11. Modifications de la présente politique

Nous adaptons la présente politique de confidentialité lorsque la situation juridique ou nos services évoluent. La version actuellement en vigueur est consultable à cette URL. Pour les modifications substantielles, nous informons en outre les clients actifs par e-mail.

Contact pour les demandes relatives à la protection des données :dsb@temporalis.io